Malware Mach-O Man Mencuri Data Keychain macOS dalam Kampanye Kripto Kelompok Lazarus

Poin Utama:

• Kelompok Lazarus dari Korea Utara menyebarkan malware Mach-O Man yang menargetkan pengguna macOS di bidang kripto dan fintech pada April 2026.
• Tim Quetzal dari Bitso mengonfirmasi bahwa kit yang dikompilasi dengan Go ini memungkinkan pencurian kredensial, akses ke Keychain, dan eksfiltrasi data melalui empat tahap.
• Para peneliti keamanan mendesak perusahaan pada 22 April 2026 untuk memblokir umpan ClickFix berbasis Terminal dan mengaudit LaunchAgents untuk file yang menyamar sebagai Onedrive.

Peneliti Mengungkap Malware macOS Korea Utara yang Menargetkan Perusahaan Kripto dan Web3 AS

Para peneliti keamanan di Tim Quetzal Bitso, bekerja sama dengan platform sandbox ANY.RUN, secara terbuka mengungkap kit tersebut pada 21 April 2026, setelah menganalisis kampanye yang mereka beri nama "North Korea's Safari." Tim tersebut mengaitkan kit tersebut dengan pencurian kripto berskala besar yang baru-baru ini dilakukan oleh Lazarus, termasuk serangan terhadap KelpDAO dan Drift, dengan mengutip penargetan konsisten kelompok tersebut terhadap pengguna macOS bernilai tinggi yang berperan di bidang Web3 dan fintech.

Mach-O Man ditulis dalam bahasa Go dan dikompilasi sebagai biner Mach-O, sehingga kompatibel dengan mesin Intel maupun Apple Silicon. Kit ini berjalan dalam empat tahap terpisah dan dirancang untuk mengumpulkan kredensial browser, entri Keychain macOS, serta akses akun kripto sebelum menghapus jejak keberadaannya.

Infeksi dimulai dengan rekayasa sosial, bukan eksploitasi perangkat lunak. Penyerang membobol atau menyamar sebagai akun Telegram milik rekan kerja di lingkaran Web3 dan kripto. Target menerima undangan rapat mendesak untuk Zoom, Microsoft Teams, atau Google Meet yang terhubung ke situs palsu yang meyakinkan, seperti update-teams.live atau livemicrosft.com.

Situs palsu tersebut menampilkan kesalahan koneksi palsu dan menginstruksikan pengguna untuk menyalin dan menempelkan perintah Terminal guna mengatasinya. Teknik ini, yang dikenal sebagai Clickfix dan diadaptasi untuk macOS, membuat pengguna menjalankan berkas stager awal, teamsSDK.bin, melalui curl. Karena pengguna menjalankan perintah secara manual, macOS Gatekeeper tidak memblokirnya.

File stager mengunduh paket aplikasi palsu, menerapkan penandatanganan kode ad-hoc agar tampak sah, dan meminta pengguna untuk memasukkan kata sandi macOS mereka. Jendela tersebut bergetar pada dua upaya pertama dan menerima kredensial pada upaya ketiga, sebuah pilihan desain yang disengaja untuk membangun kepercayaan palsu.

Dari sana, laporan peneliti dan sumber lain menyebutkan bahwa file biner profiler mengidentifikasi nama host, UUID, CPU, detail sistem operasi, proses yang berjalan, serta ekstensi browser di Brave, Chrome, Firefox, Safari, Opera, dan Vivaldi. Para peneliti mencatat bahwa profiler mengandung bug pemrograman yang menyebabkan loop tak berujung, memicu lonjakan CPU yang signifikan yang dapat mengungkap infeksi aktif.

Modul persisten kemudian menempatkan file yang telah diganti namanya bernama Onedrive ke dalam jalur tersembunyi di bawah folder berlabel "Antivirus Service" dan mendaftarkan Launchagent bernama com.onedrive.launcher.plist agar berjalan secara otomatis saat login.

Tahap akhir, sebuah biner pencuri berlabel macrasv2, mengumpulkan data ekstensi browser, basis data kredensial SQLite, dan item Keychain, mengompresnya menjadi file zip, dan mengekstraksi paket tersebut melalui API Bot Telegram. Para peneliti menemukan token bot Telegram terpapar dalam biner tersebut, yang mereka gambarkan sebagai kegagalan keamanan operasional besar yang dapat memungkinkan pihak pertahanan memantau atau mengganggu saluran tersebut.

Tim Quetzal mempublikasikan hash SHA-256 untuk semua komponen utama, beserta indikator jaringan yang mengarah ke alamat IP 172.86.113.102 dan 144.172.114.220. Peneliti keamanan mencatat bahwa kit ini telah diamati digunakan oleh kelompok di luar Lazarus, menunjukkan bahwa alat tersebut telah dibagikan atau dijual di dalam ekosistem aktor ancaman.

Lazarus, yang juga dilacak sebagai Famous Chollima oleh perusahaan intelijen ancaman, telah dikaitkan dengan pencurian kripto senilai miliaran dolar selama beberapa tahun terakhir. Alat macOS sebelumnya dari kelompok ini termasuk Applejeus dan Rustbucket. Mach-O Man mengikuti profil target yang sama sambil menurunkan hambatan teknis untuk kompromi macOS.

Tim keamanan di perusahaan kripto dan fintech disarankan untuk mengaudit direktori Launchagents, memantau proses Onedrive yang berjalan dari jalur file yang tidak biasa, dan memblokir lalu lintas API Telegram Bot keluar jika tidak diperlukan secara operasional. Pengguna tidak boleh menempelkan perintah Terminal yang disalin dari halaman web atau tautan rapat yang tidak diminta.

Organisasi yang mengoperasikan armada macOS di lingkungan kripto yang didominasi Apple harus memperlakukan tautan rapat mendesak dan tidak diminta sebagai titik masuk potensial hingga diverifikasi melalui saluran komunikasi terpisah.